4min Security

FBI neutraliseert MooBot met Belgische CCB: spionageplatform voor Rusland

FBI neutraliseert MooBot met Belgische CCB: spionageplatform voor Rusland

De FBI heeft samen met verschillende partners een schadelijk botnet ontwricht. De actie werd onder meer gesteund door het Centrum voor Cybersecurity België (CCB). Zij delen wat meer informatie over het onschadelijk maken van MooBot, dat gelinkt werd aan de Russische inlichtingendienst.

Tijdens januari van dit jaar is de Amerikaanse veiligheidsdienst bezig geweest met het uitschakelen van een botnet. Het gaat om de MooBot, dat bestond uit meer dan duizend SOHO-routers die voor het mkb en thuisgebruik geschikt zijn.

De FBI coördineerde een actie om het botnet te neutraliseren en kreeg de hulp van autoriteiten uit verschillende landen. Zo schoot het Centrum voor Cybersecurity België (CCB) te hulp om besmette routers in België op te sporen en te ontmantelen. Andere Europese autoriteiten die deelnamen aan de actie kamen uit Frankrijk, Duitsland, Letland, Litouwen, Noorwegen, Polen en het Verenigd Koninkrijk.

‘Gebruiksvriendelijk voor cybercriminelen’

Het onschadelijk gemaakt botnet bestond uit gehackte Ubiquiti EdgeRouters. Deze routers waren in het bezit van Russische staat-gesponsorde hackersgroepen: APT28, Fancy Bear en Forest Blizzard. Deze hackersgroepen zetten het botnet in voor de Russische inlichtingendienst (GRU).

Het CCB meldt dat deze Ubiquiti EdgeRouters wereldwijd massaal werden gebruikt. Zij weten ook dat dit het gevolg is van de gebruiksvriendelijkheid. Alleen heeft de gebruiksvriendelijkheid ook een keerzijde, zo meldt het centrum aan onze redactie: “Dit populaire op Linux-gebaseerde product is zeer gebruiksvriendelijk, zowel voor de gebruikers als helaas ook voor cybercriminelen.” Om in te breken op de routers hadden de cybercriminelen niet meer nodig dan het wachtwoord waarmee de apparaten standaard beveiligd worden vanuit de fabriek.

Bovendien zouden de gebruikers van de getroffen routers geen enkel signaal krijgen van de aanwezigheid van het botnet. De detectie van een infectie door cybercriminelen blijkt in het geval van een botnet vaker lastig te zijn. Bij het Qakbot was de enige merkbare impact voor de eindgebruiker bijvoorbeeld een trager systeem en verhoogd netwerkverkeer. Het Qakbot was het grootste wereldwijde botnet waar minstens 700.000 computers op waren aangesloten.

Lees ook: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden

Spionageplatform

De omvang van het MooBot was dus vele malen kleiner. Toch konden de cybercriminelen die het botnet in hun macht hadden er heel wat criminele feiten mee stellen. “Tot deze misdaden behoorden grootschalige spearphishing- en soortgelijke campagnes voor het verzamelen van inloggegevens tegen doelen die van belang zijn voor de Russische regering”, stelt de Amerikaanse dienst. In een gezamenlijke verklaring over de actie staat in de details vermeld dat APT28-criminelen de besmette routers al zeker vanaf 2022 gebruiken.

APT28 voerden criminele operaties uit die in feite door de GRU werden opgelegd, maar door het hackerscollectief in te schakelen niet rechtstreeks aan de inlichtingendienst te linken zijn. Getroffen industrieën zijn onder meer de lucht- en ruimtevaart, defensie, onderwijs, energie en nutsvoorzieningen, overheden, technologie en productie. “Doellanden zijn onder meer Tsjechië, Italië, Litouwen, Jordanië, Montenegro, Polen, Slowakije, Turkije, Oekraïne, de Verenigde Arabische Emiraten en de VS.”

Hackers van de GRU zijn na de inbraak op de systemen wel betrokken geraakt in de actie. “GRU-hackers gebruikten vervolgens de Moobot-malware om hun eigen op maat gemaakte scripts en bestanden te installeren die het botnet een nieuwe bestemming gaven, waardoor het een wereldwijd cyberspionageplatform werd”, zei de Amerikaanse veiligheidsdienst.

Maatregelen tegen wederopbouw

Om het botnet inactief te houden heeft de FBI een advies opgesteld dat gericht is aan de eigenaars van Ubiquiti EdgeRouters. Voor Belgische bedrijven waarvan de routers betrokken waren in de actie, heeft het CCB bedrijven ingelicht. De partijen worden gevraagd de hardware opnieuw op fabrieksinstellingen te zetten, te upgraden naar de laatste firmware-versie, het standaardwachtwoord te wijzigen en firewall-regels in te stellen. Die maatrelen verwijderen de kwaadaardige bestanden en voorkomen dat de cybercriminelen nog toegang hebben tot de toestellen door middel van remote management-diensten.

Het blijft onzeker of de internationale actie de MooBot volledig heeft uitgeschakeld. Voor de Qakbot vonden security-onderzoekers bijvoorbeeld enkele maanden na de vernietiging bewijs dat het botnet zich hersteld had.